刷脸，但不能“丢”脸

　　刷脸，但不能“丢”脸

　　文 | 本刊记者 彭慧文 本刊特约记者 张莉兴

　　真正需要担心的，不是显而易见的技术漏洞，而是个人信息泄露问题。人脸、指纹等生物特征都是唯一的，不可再生，如果储存这些信息的数据库遭到恶意攻击，后果将不堪设想。

　　进入九月份，“刷脸”成了最热门的词汇。先有蚂蚁金服、京东、苏宁等互联网金融巨头上线“刷脸支付”，后有传统金融的代表农业银行推出“刷脸取款”，作为苹果公司今年 One more thing发布的 iPhone X则集成了“刷脸解锁”，让有关人脸识别技术的讨论一浪高过一浪。

　　用脸解放双手

　　虽然均被冠以“刷脸”一词，但在不同的应用场景中，具体做法差异很大。

　　热度最高的苹果手机刷脸解锁，属于比较保守的应用模式。将采用指纹识别的 Touch ID替换为采用人脸识别的 Face ID，拿到新手机，用户将脸部信息录入其中，然后只需对着屏幕看一眼，便可以安全地将手机解锁。这与指纹解锁实际上没什么两样，只是把人脸作为了一种密码替代物，并没有让用户比原来节省任何操作环节。

　　相比较而言，农业银行刷脸取款“进步”貌似更大一些。刷脸取款流程为：第一步，点击 ATM 机界面上“刷脸取款”按钮，界面跳转到拍摄页面，系统对取款人脸部进行抓拍，随后自动跳转到身份核验页面；第二步，输入身份证号码或手机号码，核验通过后，界面上将显示取款人名下的所有农行卡卡号；第三步，选择卡号，输入取款金额；第四步，输入银行卡交易密码，ATM 机就开始吐钱了，整个流程稍显繁琐。其实，这也怪不得农行，中国人民银行曾在2015年12月发布《关于改进个人银行账户服务加强账户管理的通知》，支持商业银行将生物特征识别技术应用于开立个人银行账户，但只能“将其作为核验存款人身份信息的辅助手段”，以人脸作为银行账户的唯一证明，与规定不符。然而不管怎么说，农行依靠这套操作成功地让用户甩掉了取款必带卡的麻烦，让“卡时代”离我们又远了一步。

　　互联网金融机构的顾虑显然要小很多，对人脸识别的应用也更具创新性。支付宝在杭州开通了刷脸支付商用试点，进行过实名认证的用户均可以在支付宝APP上开通刷脸支付功能，就餐时，在自助点餐机点餐，随后进入支付页面，第一步，选择“支付宝刷脸付”，进行人脸识别，机器会将消费者的脸部与其身份证照片做比对；第二步，输入与支付宝账号绑定的手机号，确认后即可完成支付。从用户的直观感受来讲，人脸成为了账户的唯一证明，操作流程比手机扫码又简化了不少。在苏宁的第一家无人店苏宁体育Biu内，则在力推所谓“无停留、无感知”付款，消费者以正常步行速度通过付款通道，便会有摄像头自动进行人脸识别，同时有其他设备识别所购商品，之后购物款就直接从用户人脸绑定的苏宁金融账户中扣除了。

　　如果不考虑安全因素，中国互联网巨头们的尝试，才真正发挥出了人脸识别技术的价值。在移动支付时代，手机等移动设备逐渐取代了现金、银行卡，成为日常小额支付的首选工具，但这绝非终点。当前，以刷脸为代表的生物识别技术，正在让用户摆脱移动设备的束缚成为可能，用“靠脸吃饭”的方式，在支付环节彻底解放了双手。

　　信息泄露是最大问题

　　然而，安全因素却又是支付环节不得不考虑的问题，毕竟涉及到大家钱包的安全性，无论对于用户，还是对于服务提供商，都需要格外的小心。

　　归结起来，当前用户担心的问题主要集中于：第一，被动采集，与指纹识别、虹膜识别必须主动采集不一样，人脸识别有可能在不知不觉间就完成了，会不会有坏分子架台摄像机就可以随意在大马路上“收钱”了？第二，身份冒用，双胞胎、面相相似的人是否有可能被误读？坏分子是否可以利用照片、录像、3D头套盗用他人账户？第三，可辨识度，化妆、整容、年龄增长与疾病，都会造成脸部特征的变化，机器是否可以辨认得出？

　　这些都是显而易见的问题，但仔细想，这些问题又都不是问题。自从马云在2015年德国汉诺威消费电子、信息及通信博览会上演示刷脸支付，到支付宝将其投入商用，已经过去了两年半的时间，这么长的完善研发周期，如果普通消费者很容易想见的问题开发者们都注意不到，是否也太低估工程师们的智商了？苹果公司以“只应用成熟技术”闻名，如果Face ID漏洞百出，也犯不着推出它来打自己的脸。

　　当然，应该认识到，任何技术都不是完美的，新技术更有可能在实际运行中暴露出新的问题，不过，相信服务提供商可以通过不断的软硬件升级来很快弥补。

　　真正需要担心的，不是显而易见的技术漏洞，而是个人信息泄露问题。与人工设置的密码不一样，每个人的生物特征，如指纹、人脸、虹膜等，都是唯一的，不可再生，若大量生物识别信息集中沉淀到服务提供商手中，一旦数据库遭到恶意攻击，后果将不堪设想。谷歌正是因为担心人脸识别技术被坏分子利用，明确地拒绝了这场技术开发盛宴。

　　其实，针对生物特征信息的采集、存储和利用问题，很多国家都在论证，如何防止个人信息泄露，如何防止个人生物信息被滥用，至今还未形成统一的标准。国外公司更重视这一点，因此iPhone X用户的人脸信息都被存储在用户手机的一个安全芯片内，不会上传至服务器或云端，这样就就减少了泄露的可能。但是如果这样操作，人脸识别技术便注定只能作为一台手机的密码来使用。

　　支付宝们若要将刷脸支付大范围推广应用，这将是一个不得不面对的难题。